- A Sophos alegou que servidores baseados em VMmanager estão sendo alugados por provedores de hospedagem à prova de balas para cibercriminosos
- Os mesmos modelos do Windows expõem milhares de servidores a serem explorados para campanhas de ransomware e malware
- Infraestrutura ligada a grandes grupos (LockBit, Conti, BlackCat, Qilin, TrickBot, etc.) e empresa de hospedagem russa sancionada
Provedores de hospedagem à prova de balas estão alugando infraestrutura barata para cibercriminosos, fornecendo máquinas virtuais que eles podem usar em ataques de ransomware, descobriu uma nova pesquisa.
Um relatório da Sophos explicou como serviços legítimos estavam sendo abusados para lançar ataques em grande escala sem a necessidade de construir uma infraestrutura personalizada.
Ao investigar vários ataques de ransomware, a equipe descobriu que muitos invasores usavam servidores Windows com os mesmos nomes de host (um nome atribuído a um dispositivo em uma rede). Como ficou claro que todos esses ataques não poderiam ter sido realizados por um único invasor, eles se aprofundaram e descobriram que os sistemas eram, na verdade, máquinas virtuais criadas a partir dos mesmos modelos pré-construídos do Windows.
Abuso através de hospedagem à prova de balas
Estes foram fornecidos pelo ISPsystem VMmanager, aparentemente uma plataforma de virtualização legítima amplamente utilizada por provedores de hospedagem. Ao criar uma nova VM, os modelos não randomizam os nomes de host, resultando em milhares de servidores quase idênticos na Internet.
Agora, diz a Sophos, os cibercriminosos estão explorando isso em grande escala por meio de provedores de hospedagem à prova de balas (empresas de hospedagem que não reagem a solicitações de resistência ou relatórios de abuso) e alugam servidores baseados em VMmanager para criminosos.
Usando o Shodan, os pesquisadores conseguiram encontrar dezenas de milhares de servidores com os mesmos nomes de host. Quase todos (95%) vieram de alguns modelos do Windows, e muitos foram habilitados para KSM (o Windows é gratuito por 180 dias sem licença).
A Sophos afirma que os servidores estão ligados a grandes operações maliciosas: LockBit, Conti, BlackCat (ALPHV), Qilin, TrickBot, Ursnif, RedLine, NetSupport e muitas outras. Ele também disse que a maior parte da infraestrutura estava vinculada a empresas de hospedagem específicas e destacou dois nomes: Stark Industries Solutions e First Server Limited.
Ambos estão aparentemente ligados a atores de ameaças patrocinados pelo Estado russo e foram sancionados pela UE e pelo Reino Unido no passado.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
